Profilanwendbarkeit: Stufe 1 - Masterknoten
etcd sollte für die Peer-Authentifizierung konfiguriert werden.
etcd ist ein hochverfügbarer Schlüssel-Wert-Speicher, der von Kubernetes-Bereitstellungen
für die dauerhafte Speicherung aller seiner REST-API-Objekte verwendet wird. Diese
Objekte sind sensibel und sollten nur von authentifizierten etcd-Peers im etcd-Cluster
zugänglich sein.
 |
HinweisDiese Empfehlung gilt nur für etcd-Cluster. Wenn Sie in Ihrer Umgebung nur einen etcd-Server
verwenden, ist diese Empfehlung nicht anwendbar.
|
|
HinweisStandardmäßig ist das Argument
--peer-client-cert-auth auf false gesetzt. |
Auswirkung
Alle Peers, die versuchen, mit dem etcd-Server zu kommunizieren, benötigen ein gültiges
Client-Zertifikat zur Authentifizierung.
Prüfung
Führen Sie den folgenden Befehl auf dem etcd-Serverknoten aus:
ps -ef | grep etcd
Überprüfen Sie, ob das Argument
--peer-client-cert-auth auf true gesetzt ist.Wiederherstellung
Bearbeiten Sie die etcd-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/etcd.yaml auf dem Master-Knoten und setzen Sie den untenstehenden Parameter.--peer-client-cert-auth=true